Quali sono le migliori alternative a 1Password?
In generale, non raccomando nessun prodotto specifico. Invece, guarda i prodotti che sono disponibili per i dispositivi che usi, e considera i seguenti fattori nel prendere la tua decisione:
- Vendor - Il software è attivamente mantenuto, il vendor o il team che fa la manutenzione ha una buona reputazione, e risponde prontamente ai problemi di sicurezza? Volete un forte "sì" per tutte e tre le domande.
- Vault - Come vengono memorizzate le password nel vault, e dove si trova questo vault delle password? Si vuole che il fornitore specifichi l'algoritmo e la forza utilizzata (preferisco vedere AES-256) e si vuole la capacità di localizzare il caveau localmente, senza alcun accesso a Internet.
- Master Password - Come viene gestita la master password per produrre la chiave di crittografia? Preferisco vedere un algoritmo di rafforzamento della password come PBKDF2, perché la sicurezza del caveau delle password è buona solo quanto la chiave usata per proteggerlo.
- Universale - Il prodotto è disponibile per tutti i tuoi dispositivi e sistemi operativi? Idealmente, vuoi avere le tue password sul tuo desktop, laptop, tablet, e/o smartphone. Questo assicura che avrai sempre le tue password quando ne hai bisogno, e riduce la tentazione di usare una password insicura perché la tua password non è disponibile.
La capacità di funzionare interamente in locale è fondamentale, perché questo significa che il gestore di password non si basa sulla connettività Internet per funzionare, e non invia le password in chiaro su qualsiasi mezzo di comunicazione. Detto questo, se il vault è adeguatamente criptato, c'è poco o nessun rischio aggiuntivo nel memorizzarlo on-line o trasmetterlo da un dispositivo all'altro.
Specificamente ad altre risposte a questa domanda:
Per quanto riguarda il controllo sull'inserimento della password, sono d'accordo che è importante che tu possa scegliere quale password inserire e quando. In genere preferisco inserire le password tramite copia-e-incolla dalla mia applicazione di gestione delle password. La maggior parte delle applicazioni di gestione delle password supportano questo, anche sui dispositivi mobili. In genere non mi piacciono le applicazioni di gestione delle password che inseriscono automaticamente i dati e inviano il modulo.
Per quanto riguarda Password Corral, ci sono poche informazioni disponibili, e le informazioni che posso trovare non mi rendono sicuro della sua sicurezza generale. Usandolo come esempio per la valutazione rispetto ai miei criteri, trovo:
- Vendor: FAIL - Il prodotto è stato aggiornato più di 4 anni fa, e questo è l'aggiornamento più recente di qualsiasi tipo sul sito del venditore. Questo suggerisce che non è stato mantenuto attivamente, e che è improbabile che il venditore sia reattivo ai problemi.
- Vault: FAIL - Il sito del fornitore afferma che il caveau è protetto con crittografia Blowfish a 256 bit o Diamond2 a 128 bit. Blowfish è stato considerato obsoleto dal suo autore almeno dal 2007, e Twofish è la sostituzione raccomandata. Diamond2 sembra essere un progetto accademico di 20 anni fa, e l'unica valutazione che posso trovare suggerisce che è complessivamente molto più debole di AES con una lunghezza di chiave equivalente. Non considererei nessuno di questi algoritmi sufficientemente forte.
- Master Password: FAIL - Il fornitore non specifica come la master password sia usata per generare la chiave di crittografia del caveau. Questo probabilmente significa che non viene utilizzato alcun rafforzamento della chiave. Questo significa che lo spazio chiave effettivo per la crittografia del vault potrebbe essere abbastanza piccolo che un attacco di forza bruta sul vault potrebbe avere successo.
- Universale: Il prodotto è disponibile solo per le tradizionali piattaforme Windows. This is probably not sufficient (unless you’re one of the few folks who does not have a smartphone or tablet).